半成品之----AtapiStartIo

ywledoc

采用了点硬编码，只是实验性质的，目前正在弄，半成品
别的没什么，防止底层的，特定扇区的读写～
要防删除文件什么的，还要再把MFT保护起来

1. #include <wdm.h>
   
2. #include <srb.h>
   
3. #include <windef.h>
   
4. 
   
5. NTSTATUS
   
6. DriverEntry(        PDRIVER_OBJECT        DriverObject,
   
7.         PUNICODE_STRING        RegisterPath);
   
8.        
   
9. #pragma alloc_text(INIT, DriverEntry)
   
10. 
    
11. ////////////////////////////////////////
    
12. //global
    
13. ///////////////////////////////////////
    
14. char jmpcode[5] = { 0xE9, 0x00, 0x00 , 0x00, 0x00};
    
15. char origcode[5] = { 0};
    
16. ULONG g_orig_addr = 0xf97a197e;
    
17. ///////////////////////////////////////
    
18. //function
    
19. ///////////////////////////////////////
    
20. 
    
21. VOID WPON()
    
22. {
    
23.      __asm{
    
24.           mov eax,cr0
    
25.           or eax,0x10000
    
26.           mov cr0,eax
    
27.           STI
    
28.   }
    
29. 
    
30. }
    
31. 
    
32. VOID WPOFF()
    
33. {
    
34.   __asm{
    
35.           cli  
    
36.       mov eax, cr0
    
37.           and eax,not 0x10000
    
38.       mov cr0,eax
    
39.       }
    
40.   
    
41. }
    
42. 
    
43. VOID
    
44. DriverUnload(        PDRIVER_OBJECT DriverObject )
    
45. {
    
46.         KIRQL oldIrql;
    
47.        
    
48.         WPOFF();
    
49.         oldIrql = KeRaiseIrqlToDpcLevel();
    
50. 
    
51.         RtlCopyMemory( (BYTE*)g_orig_addr, origcode, 5 );
    
52.                
    
53.         KeLowerIrql(oldIrql);
    
54.         WPON();               
    
55. }
    
56. 
    
57. __declspec(naked)
    
58. NTSTATUS
    
59. orig_AtapiStartIo( PVOID devext_addr_ach,
    
60.                 struct _SCSI_REQUEST_BLOCK* srb
    
61.                 )
    
62. {
    
63.                 __asm
    
64.         {
    
65.                 _emit 0x90
    
66.                 _emit 0x90
    
67.                 _emit 0x90
    
68.                 _emit 0x90
    
69.                 _emit 0x90
    
70.                 _emit 0x90
    
71.                 _emit 0x90
    
72.                 _emit 0x90
    
73.                 _emit 0x90
    
74.                 _emit 0x90
    
75.                 _emit 0x90
    
76.                 _emit 0x90
    
77.                 _emit 0x90
    
78.                 _emit 0x90
    
79.         }
    
80. }
    
81.                
    
82. 
    
83. BOOLEAN
    
84. fake_AtapiStartIo(   PVOID        devext_add_ach,
    
85.                 struct _SCSI_REQUEST_BLOCK* srb
    
86.                 )
    
87. {
    
88.         ULONG        max,min;
    
89.        
    
90.         max = 4868496+57;
    
91.         min = 4868496;
    
92.        
    
93.         if( srb->QueueSortKey <= max &&
    
94.                 srb->QueueSortKey >= min)
    
95.         {
    
96.                 KdBreakPoint();
    
97.         }
    
98.        
    
99.         return orig_AtapiStartIo(devext_add_ach, srb);
    
100. }
     
101. 
     
102. VOID
     
103. InlineHook( ULONG        orig_addr,
     
104.         ULONG        fake_addr)
     
105. {       
     
106.         ULONG        distance;
     
107.         KIRQL        oldIrql;
     
108.         char        jmp_orig_code[7] = {  0xEA, 0x00, 0x00, 0x00, 0x00, 0x08, 0x00 };
     
109.        
     
110.         distance = fake_addr-orig_addr-5;
     
111.         RtlCopyMemory( origcode, (BYTE*)orig_addr, 5);
     
112.         RtlCopyMemory( jmpcode+1, (BYTE*)&distance, 4);
     
113.        
     
114.         WPOFF();
     
115.         oldIrql = KeRaiseIrqlToDpcLevel();
     
116.        
     
117.         RtlCopyMemory( (BYTE*)orig_AtapiStartIo, (BYTE*)origcode, 5);
     
118.         *( (ULONG*)(jmp_orig_code + 1) ) = (ULONG)((BYTE*)orig_addr + 5);
     
119.         RtlCopyMemory( (BYTE*)orig_AtapiStartIo+5, jmp_orig_code, 7);
     
120.         RtlCopyMemory( (BYTE*)orig_addr, jmpcode, 5);
     
121.        
     
122.         KeLowerIrql(oldIrql);
     
123.         WPON();
     
124.        
     
125.         KdPrint(("\nthe inline hook has done!\n"));
     
126.         KdBreakPoint();
     
127.        
     
128.         return;
     
129. }
     
130. 
     
131. NTSTATUS
     
132. DriverEntry(        PDRIVER_OBJECT        DriverObject,
     
133.         PUNICODE_STRING        RegisterPath)
     
134. {
     
135.         NTSTATUS        status;
     
136.                
     
137.         DriverObject->DriverUnload = DriverUnload;
     
138.        
     
139.         InlineHook( g_orig_addr, (ULONG)fake_AtapiStartIo);
     
140.        
     
141.         status = STATUS_SUCCESS;
     
142.         return status;
     
143. }

复制代码

ywledoc

找不到一个快速的方法来得到AtapiStartIo的地址。

马大哈

WPON/WPOFF

WP=weapon...??;P

ywledoc

回复 马大哈 的帖子


找不到好方法啊～

乔丹二世

回复 ywledoc 的帖子

您能解释一下这玩意有什么用吗？

ywledoc

回复 乔丹二世 的帖子

别的没什么，防止底层的，特定扇区的读写～

马大哈

文件保护?

ywledoc

回复 马大哈 的帖子

比文件系统更底层的文件保护～文件的读写，迟早要换成磁盘的读写，在磁盘(atapi.sys)的扇区层面上～做保护～
360用这个来防mbr读写，以前的穿还原也是在这层做手层。

马大哈

我K,越做越底层了......到最后不会直接拦到硬盘指令级别去吧......

干脆做个硬件插在硬盘上,这下彻底过滤了,哈哈.

ywledoc

回复 马大哈 的帖子

小哨兵还原卡好像曾经也被人穿过～

ywledoc

回复 naylon 的帖子

drvExt？
大牛～你想说什么呢？

Tesla.Angela

回复 ywledoc 的帖子

naylon不是大牛，是神童哦，人家还木有成年呢。。。
还有一个核心会员叫xiaoly99，那个人更神了，小学还没有毕业就写了一大堆驱动了！！！
每逢我想到这里，都感到压力很大。。。

ywledoc

回复 Tesla.Angela 的帖子

naylon是神童我知道～
但是xiaoly99，小学还没毕业？！！！我去啊！！！！
他那边小学都是读20年的吧！

Tesla.Angela

回复 ywledoc 的帖子

xiaoly真的小学没有毕业，12岁。。。

ywledoc

回复 Tesla.Angela 的帖子

你也让我的压力也大起来了～我小学电脑还不知道～

Tesla.Angela

回复 ywledoc 的帖子

我小学时会用VBS。。。

ywledoc

回复 Tesla.Angela 的帖子

小学电脑都没摸过～家人对我玩电脑严防死打，就怕上瘾～

ywledoc

回复 naylon 的帖子

生病三天了，终于好点了～不是跟DrvExt里的StartIo不一样～

jiedengye

这大家都什么人呢 我小学不知道电脑为何物

kk1025

真的要好好研究一下。